Недоадминистраторам (v.1.0)
Эта статья в первую очередь нацелена на пользователей, которым подарили компьютер с “уиндоус”, которые радостно загадили его вирусней и антивирусами, переустановили систему, после чего долго били себя пяткой в грудь на собеседовании, доказывая кадровикам, что именно они (те пользователи) - системные администраторы. Остальным, по идее, читать этот опус не будет интересно в силу очевидности замечаний. Да, я зол, буду много ругаться по тексту, потому, что такие криворукие, как ты (я про пользователей, описанных выше), очень много мне крови попортили своими проблемами, превращая их в мои забесплатно. Но целью написания этого опуса не является вывод “все в дерьме - я в белом”, я искренне надеюсь, что потраченное мной время обернется хоть малейшим повышением уровня квалификации тех людей, которые называют себя системными администраторами, а кому-то, возможно, поможет сменить профессию. Еще раз прошу простить за резкость статьи и, забегая вперед, отмечу, что я себя суперадмином тоже не считаю, поэтому оставляю за собой право на ошибки. Оригинал статьи находится на моем форуме
https://olegon.ru и доступен для свободного распространения в электронном виде при условии сохранения полноты и целостности текста, включая ссылку. Итак.
Немного о тебе.
С самого начала определи, насколько
тебе это интересно. В отличие от общепринятого мнения, “компьютерщик”, который ставит знакомым винду и игрушки, с удовольствием играя в них сам и проводя за этим занятием значимую часть времени и системный администратор - это совсем не одно и то же. Появление некоторой из разновидностей рукоблудных “компьютерщиков” в роли системного администратора может повлечь за собой полный паралич сервисов на предприятии. Работа системного администратора может быть интересна совсем небольшому кругу людей и если тебе не интересно почитать что-то сугубо профессиональное в нерабочее время, то на себе, как админе, ты можешь поставить крест. Ничего путного из тебя не выйдет, выше эникейщика ты не прыгнешь, а начинать трудовой путь с этого, чтобы им же и закончить... Смысла не вижу, тем более, что своей тупизной и неадекватностью ты много нервов помотаешь тем, кому придется с тобой работать.
Очень важное условие -
знание английского. Без его знания доступ к документации для тебя закрыт. А
без документации ты - ноль без палочки. Разговорный не нужен, но желателен, нужен технический, беглое чтение без словаря. Если его нет, то ты застрял на уровне эникейщика-мышевозилы. Надо понимать, что если ты не полный дурак, то ты не придешь на работу системным администратором, если не имеешь багажа знаний? Куча профанов-компьютерщиков стоят в очереди за халявой, ожидая, что будут дальше играть в компьютеры и им еще и приплачивать будут. Облом ожидает и их работодателя и их самих. Очень частая отговорка “я все изучу, но сейчас времени нет”, в большинстве случаев свидетельствует о том, что человек пришел учиться за счет работодателя, а не работать. Работать такому надо начинать с подмастерья. И опыта наберется, и делу не навредит, и имиджу профессии. Смирись с мыслью, что ты чайник, если ты не знаешь, например, что такое OU в AD. Для минимального самостоятельного старта системный
администратор безусловно должен знать основы Windows и Linux (хотя бы один дистрибутив), именно в серверной части, уметь выполнять все действия не только с помощью мыши, но и в командной строке, уметь писать среднего уровня сложности скрипты в cmd и на bash (под средним я понимаю умение обрабатывать файлы в простейших циклах и выходные errorlevel, например), знать ANSI SQL, т.е. его основу - немного поковырять любую из баз не должно быть проблемой и какой-нибудь из языков программирования, чтобы можно было собрать “костыль” для любой из используемых на предприятии операционных систем. Если ты не удовлетворяешь хотя бы одному условию из перечисленных, будь готов к тому, что настоящие сисадмины будут смотреть на тебя, как на дебила, поскольку ты в их рядах будешь выглядеть, как монашка в финской бане. Список условий выше далеко не исчерпывающий, конечно...
Немного об организации твоей работы.
Первое правило системного администратора - “работает - не трогай”. Необходимо понимать, что промышленные системы (а сетка для твоих юзеров-бухгалтеров - промышленная система, поскольку обслуживает их работу, нужную твоему предприятию, какими бы дебилами они не являлись по твоему мнению), так вот промышленные системы и твой домашний комп - две большие разницы. И ощущение, что ты - властелин всего мира и этой сетки в частности полностью ошибочное. Время твоих работ - это время, когда не работают твои пользователи. Когда они работают - ты только мониторишь состояние подведомственных ресурсов, для того, чтобы предугадать возможные сбои и планирования ресурсов. Все обновления и изменения в софте происходят только перед выходными и после согласования с “бизнесом”, т.е. с руководителями пользователей, которые работают с этим самым софтом, сроков, результатов работ, а так же возможных последствий. И эти изменения/обновления не проводятся по инициативе администратора, когда единственной из видимых причин является “о, новенькое, значит лучше”. Никогда, никогда не пытайся настроить что-то многопользовательское, если ты в этом не разбираешься или неуверенно себя чувствуешь. Иногда очень хочется долго лупить железной линейкой по пальцам неучей, которые наворотили на ровном месте проблему.
Второе, на что необходимо обратить внимание сразу после начала работ - резервные копии. Бекапить необходимо все. Систему, базы, документы пользователей, причем, последние необходимо бекапить в какую-то систему контроля версий, чтобы была возможность поднимать случайно измененные документы на какое-то число. Бекапы ни в коем случае не хранятся на том же сервере и в том же помещении, что и оригиналы. Уже неоднократно приводил примеры со взломанными серверами (о них - ниже) и о плавающих в подвале системных блоках. Приучите, что необходимые для работы документы пользователи хранят на сервере, за сохранность этих документов отвечать тебе, будущий администратор, а вот фотки со свадьбы, музыку и прочий мусор пользователь хранит за пределами организации. Железо и его обслуживание стоит денег, и не вам с пользователем договариваться, будете ли вы хранить mp3 на сервере организации или нет. Если пользователям так чешется - пусть идут к боссу и выбивают у него отдельную железку под файлопомойку и ваше время на ее организацию.
Далее, что необходимо усвоить тебе, а главное - твоему боссу.
Ты - не прислуга, а профессионал, которому доверили определенный фронт работ. Если кто-то начинает указывать на то, как надо делать, при том, что совета ты не просил, то можно отправить “советчика” далеко и надолго, либо обменяться с ним частью должностных обязанностей. За доверенный фронт работ отвечаешь ты, а не советчики. И основная ошибка новичков-админов - восприятие босса, как учителя (я имею ввиду руководителя предприятия, а не шефа ИТ). Он не учитель, более того, малоразбирающийся в ИТ человек и обязан доверять твоему мнению, как профессионала. Все просто, либо доверяет, либо делает сам. И, что обязательно, если ты говоришь, что на эти нужды требуется именно такой сервер, то задача босса выдать деньги. Нет денег - нет решения задачи. Все эти виляния на тему совмещения контроллеров домена и нескольких баз на одном полудохлом десктопе не принесут вам положительной репутации, а фирме - бесперебойной работы ИТ-сервисов. Будете бегать, нервничать, слушать маты руководителя и в итоге уволитесь, оставив после себя ощущение, что компьютер и глюки - синонимы. Да, ваша задача - собрать максимально эффективный сервер, в том числе и дешевый. Но это не значит, что надо собирать сервер из старого барахла, которое скоро сдохнет, что повлечет время на переустановку с простоем у пользователей, не значит, что надо совмещать несовместимый софт, который в итоге приведет к коллапсу и, опять же, к простою пользователей, а то и потере информации. Если все доводы выслушаны боссом и не приняты к сведению, босс стучит тапком по столу и требует, чтобы было дешево, потому, что так хочет, то выписываете все минусы его варианта на бумажку, подробно и с фантазией, потом отдаете ему на подпись, что он ознакомился. Можно отослать по почте с просьбой подтвердить прочтение. Если решение принято не тобой, то и отвечать не тебе, в том числе и работой во внеурочное время и повышенной нагрузкой в рабочее. В твои обязанности не входит вручную работать за сервер, если ты предупредил, что он не справится. Соответственно, если ты купил аналог Феррари среди компов, то тебе необходимо будет обосновать, зачем, кроме отката у железячника, ты это задумал.
Немаловажная часть твоей работы -
бюджет. Независимо от размеров организации, тебе придется его составлять, даже если его не требует руководство. Всякое железо имеет ресурс и лучше заранее предусмотреть покупку нового сервера, чем ошарашить руководство внезапными затратами, когда все начнет резко сыпаться. Не забывай и про обменный фонд, новая рабочая станция (или несколько), диски и различная периферия у тебя должны быть под рукой. Не перепаянные из трех старых, а новые.
Универсальность. Несмотря на то, что пользователи выполняют разнообразные задачи, необходимо готовить рабочие места таким образом, чтобы железо и софт для них различались просто минимально. Это позволит снять с нескольких типов десктопов образы после установки и в дальнейшем быстро разворачивать необходимый для восстановления или для нового работника. Не стоит разводить зоопарк и среди серверного оборудования и софта. Как бы ты пальцы не загибал, человеческая память имеет предел, особенно в стрессовой ситуации. И профессионалов во всех областях я не знаю. Если человек пытается убедить вас, что он знает MS SQL, MySQL и Oracle в совершенстве, то 99,9%, что он не знает ничего из указанного.
Систематизированность. Не на виду у всех, но всегда под рукой у тебя должна быть схема (в электронном виде), где будут указаны: имя сервера, его IP-адрес, функции и местонахождение. Аналогичным образом ведется журнал, где пронумерованы компьютеры пользователей с указанием, кто сейчас использует эту рабочую станцию. Не забывай вести учет и на складе. Замена монитора и прочих дорогостоящих комплектующих производится по письменной заявке начальника подразделения, не ниже. Вообще все обращения пользователей идут через helpdesk, возможность доступа всех пользователей к helpdesk - твоя ответственность. Статистика заявок - хороший способ отчетности перед начальством, то, что пользователи формализуют требования и не пытаются откровенно бредить - подспорье тебе.
Немного о технических нюансах работы. Если ты работаешь в организации не меньше, чем 5 человек, включая директора, то у нее, конечно, есть локальный доступ в
Интернет. Настоятельно рекомендую рассматривать только безлимитные тарифы с достаточной для твоей организации шириной канала. И обязательно - фиксированный внешний IP, чтобы тебе не пришлось плясать с бубном, пытаясь как-то уговорить работающего по удаленке поставить себе кучу софта для доступа, чтобы помочь тебе. Предложения вида “подключитесь на этот сервер, а оттуда дальше по радмину с рабочего стола” - это признание, аналогичное “простите, я даун” и незамедлительно вызывает у слушающего вопрос, что ты, собственно, на этом месте делаешь. Проброс порта со шлюза, которым обычно является рутер, воткнутый в инет, - элементарная операция, доступная даже просто продвинутому пользователю.
Что я считаю обязательным в организации Интернета, это возможность использования NAT’а в необходимых случаях (например, в случае использования оптимизатора или каких-то банк-клиентов), но запрет использования NAT для всех в целом (пользователи ходят только через прокси и только 80 и 443 порт), просто восприми это как данность и характерное отличие админа от криворукого придурка за клавиатурой. Для любителей файлокачания и серфинга в рабочее время статистика использования прокси выкладывается на общедоступный внутренний ресурс. Чтобы пользователи не колбасили просьбами включить им аську, внутри сети поднимается jabber-сервер. Если захочешь - сделаешь транспорт потом в аську и прочие недосервисы для избранных. Снаружи рекомендую не открывать ничего. Более того, для небольшого противодействия сканирующим, рекомендую настроить ловушки на стандартных портах, а сами сервисы перевесить на нестандартные, куда-нибудь побольше номером. Ловушки, это некий сервис, при подключении на который подключающийся полностью блокируется стенкой. И только полный дурак может выставлять в Интернет сервис на штатном порту, старой версии, с паролем меньше 8 символов длиной, включая знаки препинания и цифры.
О почте. Я не сторонник параноидального тезиса, что почта предприятия однозначно находится в его стенах. Это безусловный плюс, в том числе и по траффику. Но сказать, что обязательное условие - нет. Опять же в зависимости от количества сотрудников. Обязательными условиями являются: адресация на твой домен (всякие кривые бесплатные ящики-признак несерьезности организации), полное управление получением и отправкой почты, твой доступ к любому из почтовых ящиков независимо от желания его владельца. Если почта не локальная, то локально обязательно хранится архив.
Очень кратко о телефонии. Если не хотите проблем - отключите международные линки. Был печальный случай взлома циски с последующими переговорами с Таиландом на очень крупную сумму. Если межгород не нужен - тоже отключить. В общем, все по максимуму и, крайне желательно, на уровне провайдера.
О сотрудниках. Для большинства из сотрудников компании ты, скорее всего, останешься непонятным существом, который что-то там делает, чтобы компьютеры работали. Надо отметить, что очень многие люди, сталкиваясь с техникой и софтом, внезапно резко дуреют. Если ты относишься к их числу, то, увы, расписывайся в профнепригодности. Но речь идет о тех, с кем ты работаешь. Общаясь, тем более в конференциях, админы используют жаргон. Безусловно, приучать пользователей и босса к жаргону ты не должен. Кроме раздражения твоим якобы желанием показаться крутым и непонимания, этим ты ничего не добьешься. Объяснять необходимо человеческим языком и убеждаясь, что слушающий тебя понимает, а не впал в транс из-за обилия непонятных терминов. На доводы начальства, что ИТ-подразделение - обслуживающее, необходимо подчеркнуть, что обслуживает оно в первую очередь технику, а не бухгалтерш, которые не знают, как косынку разложить. Руководство может захотеть нахаляву обучение. Не вопрос, выделяешь время в плане своих мероприятий, согласовываешь с руководителем подразделения график. И обязательно - экзамен с ощутимым денежным штрафом для двоечников. В противном случае слушать тебя не будут, поверь моему опыту.
Организация парка. Ради всего святого, не надо делать из 20 компов и 20 сидящих на месте юзеров AD, если железный парк ограничен... Даже если у тебя домен, то домен (в смысле FQDN)- это ни разу не синоним AD. Не включай в домен сервера, если они не требуют авторизации пользователей. Это ни к чему по соображениям безопасности и противоглючности. Пусть у сервера будет фиксированный IP и имя, в домен его вводить не надо. И учеток, совпадающих с доменными, тоже не заводи. А штатные, вроде Administrator, переименуй в какую-то еще, только запиши, во что переименовали... Лучше, если администраторов на сервере будет как минимум двое, с одинаковыми требованиями к паролю. Пока не убедились, что заходите под вторым, не меняйте у первого пароль или еще какие-то настройки, которые могут повлиять на доступ. Еще настоятельно рекомендую, не используй локализованные версии ОС на сервере. Столько багов на этом отловлено, столько абсолютно бредовых сообщений выдавалось в ситуации, когда сейчас и сразу надо решить проблему... Не используй в именах (пользователей, серверов и т.п.) русские буквы, тире, подчеркивания, амперсенд и прочие специфичные для ОС или софта знаки препинания.
На этом пока все... Текст буду править и дополнять. Буду рад предложениям и замечаниям.